À la fin du mois de mars, des millions de collégiens, de lycéens, de parents et d’enseignants ont reçu un message sur leur Espace Numérique de Travail (ENT) ou leur messagerie scolaire. Pour les élèves, la promesse était alléchante : trois mangas gratuits à récupérer directement au collège. Pour les enseignants et personnels administratifs, il s’agissait d’un Pack de ressources pédagogiques promis par la direction de l’établissement. Pour les parents enfin, du matériel de sport offert pour leurs enfants. Des offres crédibles, diffusées par des canaux officiels, mais entièrement frauduleuses. Bienvenue dans l’opération Cactus.
C’est quoi l’opération Cactus ?
Derrière ces messages trop beaux pour être vrais, pas de cybercriminels, mais le ministère de l’Éducation nationale, épaulé par le ministère de l’Intérieur, le ministère de la Justice, la CNIL et Cybermalveillance.gouv.fr. Ensemble, ils ont orchestré la deuxième édition de l’opération Cactus, une simulation de phishing à grande échelle visant à tester les réflexes de tout le système éducatif français.
Le bilan est sans appel. Sur les 9,2 millions de personnes ciblées dans plus de 6 000 établissement, plus d’un million a cliqué sur le lien frauduleux. Ceux qui ont mordu à l’hameçon ont été redirigés non pas vers une page malveillante, mais vers une vidéo pédagogique expliquant le mécanisme du phishing et les bons réflexes à adopter. Reste que dans le cas d’une véritable tentative d’arnaque, ils auraient sans doute mordu à l’hameçon.
Les adultes mauvais élèves du phishing
Au jeu de la cybersécurité, les plus jeunes sont bien plus prudents que leurs aînés. Les collégiens affichent un taux de clic de 11%, les lycéens de seulement 6%. Les adultes quant à eux, se laissent plus facilement berner : 13% des parents et 20% du personnel enseignant et administratif sont tombés dans le panneau, soit un enseignant sur cinq.
Cette opération, si elle n’est pas franchement un succès, a le mérite de balayer une idée encore très répandue, selon laquelle les jeunes adopteraient les comportements les plus à risque en ligne. S’ils ne sont pas exempts de défauts dans leurs pratiques numériques, ils sont en revanche bien moins naïfs que les adultes.
Une arnaque qui pique pour de vrai
La première édition de l’opération Cactus, plus modeste, ciblait 2,5 millions de collégiens et lycéens dans environ 4 700 établissements. Cette deuxième mouture a considérablement élargi son périmètre. Rappelons que l’augmentation des cyberattaques touchent tous les secteurs, et notamment celui de l’éducation nationale. Les établissements scolaires ne sont pas épargnés, et des campagnes de phishing massives assorties de vols de mots de passe ont déjà conduit à des fermetures temporaires de services, comme ce fut le cas dans la région des Hauts-de-France à la fin de l’année 2025.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
